CN114925757B - 多源威胁情报融合方法、装置、设备和存储介质 - Google Patents

多源威胁情报融合方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN114925757B
CN114925757B CN202210498202.8A CN202210498202A CN114925757B CN 114925757 B CN114925757 B CN 114925757B CN 202210498202 A CN202210498202 A CN 202210498202A CN 114925757 B CN114925757 B CN 114925757B
Authority
CN
China
Prior art keywords
information
similarity
fusion
threat
repeated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210498202.8A
Other languages
English (en)
Other versions
CN114925757A (zh
Inventor
郭实秋
鞠港
袁涵
高岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210498202.8A priority Critical patent/CN114925757B/zh
Publication of CN114925757A publication Critical patent/CN114925757A/zh
Application granted granted Critical
Publication of CN114925757B publication Critical patent/CN114925757B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3346Query execution using probabilistic model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/259Fusion by voting
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开提供一种多源威胁情报融合方法,涉及网络安全技术领域,该方法包括获取同一批次的多个威胁情报,基于语义相似度判断多个威胁情报之间的相似度,生成重复情报和非重复情报。基于预设的字段融合规则表,对重复情报进行字段融合,得到融合情报。以上述融合情报和非重复情报作为新威胁情报,获取数据库中类型相同的历史威胁情报。判断新威胁情报和历史威胁情报的相似度,生成重复情报集和非重复情报。对重复情报集进行字段融合。将融合后的情报更新入数据库,非重复情报直接写入数据库。本公开的情报融合方法基于自然语言处理提取情报语义特征进行重复性判断,且通过预设的字段融合规则进行重复情报的融合,融合效果好,且情报整合效率高。

Description

多源威胁情报融合方法、装置、设备和存储介质
技术领域
本公开涉及网络安全技术领域,具体而言,涉及一种多源威胁情报融合方法、装置、设备和存储介质。
背景技术
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。威胁情报的及时共享和使用是有效提高网络安全防护能力的手段。
目前,随着威胁情报数据源的多元化,情报融合是发掘安全情报价值的重要手段,是实现大数据环境下多源情报获取和整合的关键途径。通过情报融合能够获取高质量情报,为诸多信息系统的风险预警、追踪溯源等风险防御措施提供准确有效的情报支撑,从而有效提升网络安全防护能力。但是,目前在情报融合方面,主要基于规则、字段映射、模板、人工等形式进行情报数据融合,这些融合方式的融合粒度较为粗糙,且对融合后的结果的输出并不灵活,在一定程度上会引起误报,影响网络安全防护能力。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种多源威胁情报融合方法、装置、设备和存储介质,用于至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或多个问题。
根据本公开实施例的第一方面,提供一种多源威胁情报融合方法,包括:
获取同一批次的多个威胁情报;
基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
在本公开的一种示例性实施例中,基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报的步骤包括:
对所述威胁情报进行文本预处理;
基于语义预训练模型对文本预处理后的所述威胁情报进行向量化表示,得到威胁情报语义向量;
利用相似度算法计算两个所述威胁情报语义向量的相似度,得到语义相似度;
基于语义相似度和预设的相似度阈值,生成情报重复性判定结果;
在所述情报重复性判定结果为情报重复时,生成第一重复情报集;
在所述情报重复性判定结果为情报不重复时,生成第一非重复情报。
在本公开的一种示例性实施例中,所述语义预训练模型包括基于词向量的第一语义预训练模型、基于字符的第二语义预训练模型和基于词嵌入的第三语义训练模型中的至少两种。
在本公开的一种示例性实施例中,基于语义相似度和预设的相似度阈值,生成情报重复性判定结果的步骤包括:
比较语义相似度和预设的相似度阈值之间的大小,生成相似度判断结果;
利用多数投票方法对多个语义预训练模型对应的相似度判断结果进行投票,生成所述情报重复性判断结果。
在本公开的一种示例性实施例中,所述语义预训练模型以所述数据库中历史威胁情报为训练样本训练得到。
在本公开的一种示例性实施例中,利用相似度算法计算两个所述威胁情报语义向量的相似度的步骤包括:利用余弦距离、海明距离、曼哈顿距离、欧几里得距离、Jaccard相似系数、编辑距离或SimHash值计算两个所述威胁情报语义向量的相似度。
在本公开的一种示例性实施例中,基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报的步骤包括:
基于所述威胁情报的类型确定去重字段和融合字段,生成所述字段融合规则表;
对所述第一重复情报集中对应所述去重字段的内容进行去重操作;
对所述第一重复情报集中对应所述融合字段的内容进行合并操作。
根据本公开实施例的第二方面,提供一种多源威胁情报融合装置,包括:
第一获取模块,用于获取同一批次的多个威胁情报;
第一相似度判断模块,用于基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
第一融合模块,用于基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
第二获取模块,以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
第二相似度判断模块,用于基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
第二融合模块,用于基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
更新写入模块,用于将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
根据本公开的第三方面,提供一种电子设备,包括:存储器;以及耦合到所属存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上述任意一项所述的多源威胁情报融合方法。
根据本公开的第四方面,提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上述任意一项所述的多源威胁情报融合方法。
本公开的多源威胁情报融合方法,通过同批次重复情报融合和历史重复情报融合两个融合过程保证威胁情报的整合效率。在重复性判断过程中,基于语义相似度进行相似度计算,能够有效避免人工判重、规则判重的主观性。并且,面向多种情报类型,能够根据预设的字段融合规则灵活进行重复情报的融合,融合效果好。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开一个示例性实施例中多源威胁情报融合方法的流程图。
图2示意性示出本公开一个示例性实施例中判断多个所述威胁情报之间的相似度的流程图。
图3示意性示出本公开一个示例性实施例中对第一重复情报集进行字段融合的流程图。
图4示意性示出本公开一个示例性实施例中多源威胁情报融合过程的示意图。
图5示意性示出本公开一个示例性实施例中源威胁情报融合装置的方框图。
图6示意性示出本公开一个示例性实施例中的第一相似度判断模块的方框图。
图7示意性示出本公开一个示例性实施例中一种电子设备的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
自然语言处理(Nature Language processing,NLP)是计算机科学领域与人工智能领域中的一个重要方向。它研究能实现人与计算机之间用自然语言进行有效通信的各种理论和方法。自然语言处理是一门融语言学、计算机科学、数学于一体的科学。因此,这一领域的研究将涉及自然语言,即人们日常使用的语言,所以它与语言学的研究有着密切的联系。自然语言处理技术通常包括文本处理、语义理解、机器翻译、机器人问答、知识图谱等技术。
在本公开的实施例中,利用自然语言处理技术,基于语义相似度对威胁情报进行重复性判断,以避免人工判断的主观性。
下面结合附图对本公开示例的多源威胁情报融合方法、装置、设备及存储介质的实施方式进行详细说明。
图1示意性示出本公开示例性实施例中多源威胁情报融合方法的流程图。参考图1,多源威胁情报融合方法100可以包括:
步骤S101,获取同一批次的多个威胁情报;
步骤S102,基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
步骤S103,基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
步骤S104,以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
步骤S105,基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
步骤S106,基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
步骤S107,将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
通过同批次威胁情报的重复性判断和重复情报融合处理得到同批次的第一融合情报和第一非重复情报。将同批次的第一融合情报和第一非重复情报融合情报作为新威胁情报,与数据库中的历史威胁情报进行重复性判断和重复情报融合处理后,得到第二融合情报和第二非重复情报。将第二融合情报和第二非重复情报进行更新和入库,实现多源威胁情报的融合过程。通过同批次重复情报融合和历史重复情报融合两个融合过程保证威胁情报的整合效率。在重复性判断过程中,基于语义相似度进行相似度计算,能够有效避免人工判重、规则判重的主观性。并且,面向多种情报类型,能够根据预设的字段融合规则灵活进行重复情报的融合,融合效果好。
下面,对多源威胁情报融合方法100的各步骤进行详细说明。
步骤S101,获取同一批次的多个威胁情报。
从一个或多个威胁情报源中获取多个威胁情报。获取方式例如可以是数据分析、付费购买等。进一步优选地,将各个情报源中获取的威胁情报数据转化为标准格式数据,以便于后续的数据处理过程。例如可以参照OpenIOC(Open Indicator of Compromise,开放威胁指标)、IODEF((Incident Object Deion and Exchange Format,安全事件描述交换格式)、国家标准GB/T 36643-2018等格式,转化获得同一批次的标准格式情报。
步骤S102,基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报。本公开中,基于语义相似度判断主要利用自然语言处理技术提取威胁情报的语义特征。
具体地,请参阅图2,在本公开的一个实施例中,该步骤包括:
步骤S201,对所述威胁情报进行文本预处理。
具体地,对威胁情报进行文本预处理的过程例如可以包括去除停用词步骤、分词步骤等。停用词是一些完全没有用或者没有意义的词,例如助词、语气词等。通过停用词库对过滤去除停用词。通过去除停用词步骤,避免对威胁情报的重复性产生误判。分词步骤例如可以利用中文语言分析框架(HanLP)工具、jieba分词工具、SnowNLP工具等进行分词处理。
例如在一个具体的应用场景中,将威胁情报“JPCERT发现,恶意软件LODEINFO攻击活动仍然活跃,并且正在使用与病毒相关的文件名传播感染,并添加或更改多个功能”进行文本预处理后,生成威胁情报“JPCERT发现恶意软件LODEINFO攻击活动仍然活跃正在使用病毒相关文件名传播感染添加更改功能”。
步骤S202,基于语义预训练模型对文本预处理后的所述威胁情报进行向量化表示,得到威胁情报语义向量。
在本公开的一个实施例中,所述语义预训练模型包括基于词向量的第一语义预训练模型、基于字符的第二语义预训练模型和基于词嵌入的第三语义训练模型中的至少两种。
具体地,基于词向量的第一语义训练模型例如可以是通过TF-IDF(termfrequency–inverse document frequency,词频-逆向文件频率)算法将威胁情报中的每个词语转化为威胁情报语义向量。基于字符的第二语义预训练模型例如可以是通过SimHash算法得到威胁情报语义向量。基于概率统计的第三语义预训练模型例如可以是通过对两个威胁情报的分词进行Jaccard相似度计算,获得威胁情报的语义向量。基于词嵌入的第四语义训练模型例如可以是通过word2vec算法将威胁情报中的每个词语转化为词向量,以获得威胁情报语义向量。
通过采用至少两种语义训练模型对两个威胁情报进行相似度判断,能够有效避免单一语义预训练模型的缺陷,使得判断结果更为准确。
步骤S203,利用相似度算法计算两个所述威胁情报语义向量的相似度,得到语义相似度。
在本公开的一种实施方式中,利用相似度算法计算两个所述威胁情报语义向量的相似度的步骤包括:利用余弦距离、海明距离、曼哈顿距离、欧几里得距离、Jaccard相似系数、编辑距离或SimHash值计算两个所述威胁情报语义向量的相似度。
步骤S204,基于语义相似度和预设的相似度阈值,生成情报重复性判定结果。
具体地,在一个公开的实施例中,步骤S204包括:
比较语义相似度和预设的相似度阈值之间的大小,生成相似度判断结果。相似度判断结果为情报相似或者是情报不相似。
利用多数投票方法对多个语义预训练模型对应的相似度判断结果进行投票,生成所述情报重复性判断结果。情报重复性判断结果为情报重复或者是情报不重复。
例如,在一个具体的应用场景中,基于第一语义预训练模型生成威胁情报语义向量,对两篇威胁情报的语义向量进行相似度计算后,生成第一相似度判断结果。基于第二语义预训练模型生成威胁情报语义向量,对两篇威胁情报的语义向量进行相似度计算后,生成第二相似度判断结果。基于第三语义预训练模型生成威胁情报语义向量,对两篇威胁情报的语义向量进行相似度计算后,生成第三相似度判断结果。利用多数投票算法对第一相似度判断结果、第二相似度判断结果和第三相似度判断结果进行投票。多数投票算法基于如下公式①进行判断:
其中,res表示情报重复性判断结果,res为0表示情报不重复,res为1表示情报重复,m表示相似度判断结果的数量,表示相似度判断结果为情报相似的数量。
步骤S205,在所述情报重复性判定结果为情报重复时,生成第一重复情报集。
步骤S206,在所述情报重复性判定结果为情报不重复时,生成第一非重复情报。
可以理解的是,对同一类别下的威胁情报按照上述步骤进行两两对比,两两比对分析后,将判断结果为情报重复的威胁情报合并成为第一重复情报集;;两两比对后,如果判断结果为情报不重复,则该威胁情报为独立的非重复情报。
为攻击组织类别下的威胁情报为例,对步骤S201~S206进行示意性说明。对于同一批次中攻击类型下两篇威胁情报:
(1)对威胁情报进行文本预处理,计算经过文本预处理后的威胁情报中的词语wi对应的词频TFi,词频TFi由该词语在此篇威胁情报中出现的次数除以该威胁情报中的词语总数/>得到;
计算该词语的逆向文档频率IDFi,由数据库中攻击组织类型情报的总数量|D|除以包含该词语的情报的数量|{j:wi∈dj}|,再取对数得到。具体如下述公式②所示:
由此,威胁情报中的每个词语都可以量化转换为数值TF-IDFi,进一步一篇情报可以转变为威胁情报语义向量TF-IDF。
按照上述方式得到两篇威胁情报的语义向量TF-IDF,基于余弦距离计算2篇威胁情报的相似度,如下述公式③所示:
其中,Sim(m,n)表示语义相似度,表示威胁情报p的语义向量TF-IDF;表示威胁情报q的语义向量TF-IDF。
语义相似度Sim(m,n)越接近于1,威胁情报p和威胁情报q越相似。设定预设的相似度阈值为0.8,若计算得到相似度大于0.8,则判断情报相似,否则,判断情报不相似。根据上述判断,生成第一相似度判断结果。
(2)对威胁情报进行文本预处理,分别获得威胁情报p的分词集合和威胁情报q的分词集合,按照如下公式④计算威胁情报p和威胁情报B的Jaccard相似系数。
其中,J(p,q)表示Jaccard相似系数;p表示威胁情报p的分词集合;q表示威胁情报B的分词集合;J(p,q)∈[0,1],当p,q都为空时,J(p,q)定义为1。
Jaccard相似系数J(p,q)值越大,威胁情报p和威胁情报q越相似。设定预设的相似度阈值为0.9,若计算得到相似度(Jaccard相似系数)大于0.9,则判断情报相似,否则,判断情报不相似。根据上述判断,生成第二相似度判断结果。
(3)对威胁情报进行文本预处理,得到威胁情报的分词,为每一个分词设置权重,采用hash函数计算各个分词的hash值,hash值可以为二进制数01组成的n-bit签名。在hash值的基础上,按照分词的权重进行加权形成加权字符串。对所有分词的加权字符串进行累加,获得序列串。对序列串进行降维处理,得到该威胁情报的SimHash值。
按照上述方式得到两篇威胁情报的SimHash值,计算两个SimHash值的海明距离。预设的相似度阈值设定为3,若两个SimHash值的相似度(海明距离)小于或等于3,则判断情报相似,否则,判断情报不相似。根据上述判断,生成第三相似度判断结果。
(4)基于多数投票算法对步骤(1)获得的第一相似度判断结果、步骤(2)获得的第二相似度判断结果和步骤(3)获得的第三相似度判断结果进行投票,若判断情报相似的数量超过1/3,则判断威胁情报p和威胁情报q重复,否则,判断威胁情报p和威胁情报q不重复。
在生成第一重复情报集和第一非重复情报,进入:
步骤S103,基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报。
具体地,请参阅图3,在本公开的一个实施例中,该步骤包括:
步骤S301,基于所述威胁情报的类型确定去重字段和融合字段,生成所述字段融合规则表。
具体地,威胁情报类型可以包括Threat-actor(攻击主体)、Campaign(攻击活动)、Course of action(应对措施)、Report(报告)、攻击指标(Indicator)、攻击目标(ExploitTarget)、攻击方法(TTP)等。如下表1示意性地示出了一个字段融合规则表,按照情报类型的不同,通过人工等方式确定判重字段和融合字段。
表1
步骤S302,对所述第一重复情报集中对应所述去重字段的内容进行去重操作。例如,根据表1中设定的判重字段,对该字段下的值进行去重操作,以去除冗余信息。
步骤S303,对所述第一重复情报集中对应所述融合字段的内容进行合并操作。例如,根据表1中设定的融合字段,对该字段下的值进行合并操作,保证情报信息的完整性。
步骤S104,以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报。
步骤S105,基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报。
需要说明的是,基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度的步骤可以参照步骤S102中的步骤执行,在此不再进行赘述。
步骤S106,基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报。
需要说明的是,基于预设的字段融合规则表,对所述第二重复情报集进行字段融合的步骤可以参照步骤S103中的步骤执行,在此不再进行赘述。
步骤S107,将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
请参阅图4,示意性地示出了上述的多源威胁情报融合方法的过程,对同批次的多个威胁情报400进行相似度判断后,得到第一重复情报集401和第一非重复情报402。对第一重复情报集401进行融合处理,得到第一融合情报403。以第一融合情报403和第一非重复情报402作为新的威胁情报,获取数据库中同类型的历史威胁情报405。对新的威胁情报和历史威胁情报405进行相似度判断后,得到第二重复情报集406和第二非重复情报407。对第二重复情报集406进行融合处理,得到第二融合情报408。对第二融合情报408和第二非重复情报407进行更新入库。
进一步地,在本公开的一个实施例中,所述语义预训练模型以所述数据库中历史威胁情报为训练样本训练得到。具体地,从数据库中获取多个训练样本,每个训练样本包括威胁情报文本和威胁情报文本对应的威胁情报语义向量。通过无监督的神经网络模型进行训练得到语义预训练模型。可以理解的是,在数据库写入新的威胁情报时,可以生成新的训练样本,对语义预训练模型进行进一步训练。通过上述方式,可以有效提高语义预训练模型输出结果的准确性。
进一步地,在本公开的一个实施例中,记录各类型威胁情报融合前后的数量变化,生成融合数量记录引擎。
图5示意性示出本公开示例性实施例中的一种多源威胁情报融合装置的示意图。参考图5,一种多源威胁情报融合装置500,包括:
第一获取模块510,用于获取同一批次的多个威胁情报;
第一相似度判断模块520,用于基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
第一融合模块530,用于基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
第二获取模块540,用于以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
第二相似度判断模块550,用于基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
第二融合模块560,用于基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
更新写入模块570,用于将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
请参阅图6,在本公开的一种实施例中,第一相似度判断模块620包括:
预处理子模块610,用于对所述威胁情报进行文本预处理;
语义向量生成子模块620;用于基于语义预训练模型对文本预处理后的所述威胁情报进行向量化表示,得到威胁情报语义向量;
相似度计算子模块630,用于利用相似度算法计算两个所述威胁情报语义向量的相似度,得到语义相似度;
重复性判断子模块640,用于基于语义相似度和预设的相似度阈值,生成情报重复性判定结果;
第一重复情报集生成子模块650,用于在所述情报重复性判定结果为情报重复时,生成第一重复情报集;
第一非重复情报生成子模块660,用于在所述情报重复性判定结果为情报不重复时,生成第一非重复情报。
上述各个子模块的具体原理参照上述多源威胁情报融合方法100实施例的描述。
进一步地,在本公开的一种实施例中,多源威胁情报融合装置500还可包括实现上述各处理方法实施例的其他流程步骤的模块。例如,各个模块和子模块的具体原理可参照上述多源威胁情报融合方法100实施例的描述,此处不再重复说明。
由于多源威胁情报融合装置500的各功能已在其对应的方法实施例中予以详细说明,本公开于此不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图1中所示的步骤S101,获取同一批次的多个威胁情报;步骤S102,基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;步骤S103,基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;步骤S104,以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;步骤S105,基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;步骤S106,基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;步骤S107,将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
本公开的一种实施例,还提供了一种根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和构思由权利要求指出。

Claims (6)

1.一种多源威胁情报融合方法,其特征在于,包括:
获取同一批次的多个威胁情报;
基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库;
其中,基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报的步骤包括:
对所述威胁情报进行文本预处理;
基于语义预训练模型对文本预处理后的所述威胁情报进行向量化表示,得到威胁情报语义向量;
利用相似度算法计算两个所述威胁情报语义向量的相似度,得到语义相似度;
基于语义相似度和预设的相似度阈值,生成情报重复性判定结果;
在所述情报重复性判定结果为情报重复时,生成第一重复情报集;
在所述情报重复性判定结果为情报不重复时,生成第一非重复情报;
其中,所述语义预训练模型包括基于词向量的第一语义预训练模型、基于字符的第二语义预训练模型和基于词嵌入的第三语义训练模型中的至少两种;
其中,基于语义相似度和预设的相似度阈值,生成情报重复性判定结果的步骤包括:
比较语义相似度和预设的相似度阈值之间的大小,生成相似度判断结果;
利用多数投票方法对多个语义预训练模型对应的相似度判断结果进行投票,生成所述情报重复性判断结果;
其中,利用相似度算法计算两个所述威胁情报语义向量的相似度的步骤包括:利用余弦距离、海明距离、曼哈顿距离、欧几里得距离、Jaccard相似系数、编辑距离或SimHash值计算两个所述威胁情报语义向量的相似度。
2.根据权利要求1所述多源威胁情报融合方法,其特征在于,所述语义预训练模型以所述数据库中历史威胁情报为训练样本训练得到。
3.根据权利要求1所述多源威胁情报融合方法,其特征在于,基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报的步骤包括:
基于所述威胁情报的类型确定去重字段和融合字段,生成所述字段融合规则表;
对所述第一重复情报集中对应所述去重字段的内容进行去重操作;
对所述第一重复情报集中对应所述融合字段的内容进行合并操作。
4.一种多源威胁情报融合装置,其特征在于,包括:
第一获取模块,用于获取同一批次的多个威胁情报;
第一相似度判断模块,用于基于语义相似度判断多个所述威胁情报之间的相似度,生成第一重复情报集和第一非重复情报;
第一融合模块,用于基于预设的字段融合规则表,对所述第一重复情报集进行字段融合,得到第一融合情报;
第二获取模块,以所述第一融合情报和所述第一非重复情报作为新威胁情报,获取数据库中与所述新威胁情报类型相同的历史威胁情报;
第二相似度判断模块;用于基于语义相似度判断所述新威胁情报和所述历史威胁情报的相似度,生成第二重复情报集和第二非重复情报;
第二融合模块,用于基于预设的字段融合规则表,对所述第二重复情报集进行字段融合,得到第二融合情报;
更新写入模块,用于将进行字段融合的所述历史威胁情报更新为所述第二融合情报,并将所述第二非重复情报写入所述数据库;
所述第一相似度判断模块,还用于:
对所述威胁情报进行文本预处理;
基于语义预训练模型对文本预处理后的所述威胁情报进行向量化表示,得到威胁情报语义向量;
利用相似度算法计算两个所述威胁情报语义向量的相似度,得到语义相似度;
基于语义相似度和预设的相似度阈值,生成情报重复性判定结果;
在所述情报重复性判定结果为情报重复时,生成第一重复情报集;
在所述情报重复性判定结果为情报不重复时,生成第一非重复情报;
其中,所述语义预训练模型包括基于词向量的第一语义预训练模型、基于字符的第二语义预训练模型和基于词嵌入的第三语义训练模型中的至少两种;
所述第一相似度判断模块,还用于:
比较语义相似度和预设的相似度阈值之间的大小,生成相似度判断结果;
利用多数投票方法对多个语义预训练模型对应的相似度判断结果进行投票,生成所述情报重复性判断结果;
所述第一相似度判断模块,还用于:
利用余弦距离、海明距离、曼哈顿距离、欧几里得距离、Jaccard相似系数、编辑距离或SimHash值计算两个所述威胁情报语义向量的相似度。
5.一种电子设备,其特征在于,包括:处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~3中任意一项所述的多源威胁情报融合方法。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~3中任意一项所述的多源威胁情报融合方法。
CN202210498202.8A 2022-05-09 2022-05-09 多源威胁情报融合方法、装置、设备和存储介质 Active CN114925757B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210498202.8A CN114925757B (zh) 2022-05-09 2022-05-09 多源威胁情报融合方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210498202.8A CN114925757B (zh) 2022-05-09 2022-05-09 多源威胁情报融合方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN114925757A CN114925757A (zh) 2022-08-19
CN114925757B true CN114925757B (zh) 2023-10-03

Family

ID=82808339

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210498202.8A Active CN114925757B (zh) 2022-05-09 2022-05-09 多源威胁情报融合方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN114925757B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116992448B (zh) * 2023-09-27 2023-12-15 北京安天网络安全技术有限公司 基于数据源重要程度的样本确定方法及装置、设备及介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902335A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种数据过滤与合并的方法
CN107370763A (zh) * 2017-09-04 2017-11-21 中国移动通信集团广东有限公司 基于外部威胁情报分析的资产安全预警方法及装置
CN111311908A (zh) * 2020-02-18 2020-06-19 青岛海信网络科技股份有限公司 一种重复交通情报的识别处理方法和装置
CN111666976A (zh) * 2020-05-08 2020-09-15 深圳力维智联技术有限公司 基于属性信息的特征融合方法、装置和存储介质
CN111917793A (zh) * 2020-08-10 2020-11-10 武汉思普崚技术有限公司 一种攻击链情报分析方法及系统
CN112329824A (zh) * 2020-10-23 2021-02-05 北京中科智加科技有限公司 多模型融合训练方法、文本分类方法以及装置
CN112667766A (zh) * 2020-12-25 2021-04-16 中国科学院信息工程研究所 网络威胁情报元数据融合的方法与系统
CN113032775A (zh) * 2019-12-25 2021-06-25 中国电信股份有限公司 情报处理方法和情报处理系统
CN113254641A (zh) * 2021-05-27 2021-08-13 中国电子科技集团公司第十五研究所 一种情报数据融合方法与装置
CN113591474A (zh) * 2021-07-21 2021-11-02 西北工业大学 一种基于加权融合的Loc2vec模型的重复数据检测方法
CN113627698A (zh) * 2020-05-07 2021-11-09 中国电信股份有限公司 威胁情报信息处理方法、装置和存储介质
CN113722478A (zh) * 2021-08-09 2021-11-30 北京智慧星光信息技术有限公司 多维度特征融合相似事件计算方法、系统及电子设备
CN113961969A (zh) * 2021-12-22 2022-01-21 北京金睛云华科技有限公司 一种安全威胁协同建模方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717339B (zh) * 2019-12-12 2020-06-30 北京百度网讯科技有限公司 语义表示模型的处理方法、装置、电子设备及存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902335A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种数据过滤与合并的方法
CN107370763A (zh) * 2017-09-04 2017-11-21 中国移动通信集团广东有限公司 基于外部威胁情报分析的资产安全预警方法及装置
CN113032775A (zh) * 2019-12-25 2021-06-25 中国电信股份有限公司 情报处理方法和情报处理系统
CN111311908A (zh) * 2020-02-18 2020-06-19 青岛海信网络科技股份有限公司 一种重复交通情报的识别处理方法和装置
CN113627698A (zh) * 2020-05-07 2021-11-09 中国电信股份有限公司 威胁情报信息处理方法、装置和存储介质
CN111666976A (zh) * 2020-05-08 2020-09-15 深圳力维智联技术有限公司 基于属性信息的特征融合方法、装置和存储介质
CN111917793A (zh) * 2020-08-10 2020-11-10 武汉思普崚技术有限公司 一种攻击链情报分析方法及系统
CN112329824A (zh) * 2020-10-23 2021-02-05 北京中科智加科技有限公司 多模型融合训练方法、文本分类方法以及装置
CN112667766A (zh) * 2020-12-25 2021-04-16 中国科学院信息工程研究所 网络威胁情报元数据融合的方法与系统
CN113254641A (zh) * 2021-05-27 2021-08-13 中国电子科技集团公司第十五研究所 一种情报数据融合方法与装置
CN113591474A (zh) * 2021-07-21 2021-11-02 西北工业大学 一种基于加权融合的Loc2vec模型的重复数据检测方法
CN113722478A (zh) * 2021-08-09 2021-11-30 北京智慧星光信息技术有限公司 多维度特征融合相似事件计算方法、系统及电子设备
CN113961969A (zh) * 2021-12-22 2022-01-21 北京金睛云华科技有限公司 一种安全威胁协同建模方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Information intelligence: metadata for information discovery, access, and integration;Randall Hauch, Alex Miller, Rob Cardwell;Proceedings of the 2005 ACM SIGMOD international conference on Management of data;793-789 *
The integration of business intelligence and knowledge management;W. F. Cody; J. T. Kreulen; V. Krishna; W. S. Spangler;IBM Systems Journal;第41卷(第4期);697-713 *
基于知识元的多源竞争情报融合方法研究;孙琳;王延章;;情报杂志(第11期);全文 *
多特征融合下视频网站弹幕信息有用性检测研究;张瑞等;现代情报;第42卷(第4期);全文 *

Also Published As

Publication number Publication date
CN114925757A (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
US11023682B2 (en) Vector representation based on context
US11948113B2 (en) Generating risk assessment software
WO2019003069A1 (en) ADAPTIVE EVALUATION OF META-RELATIONS IN SEMANTIC GRAPHICS
US9411878B2 (en) NLP duration and duration range comparison methodology using similarity weighting
US11514335B2 (en) Root cause identification in audit data
CN111783450B (zh) 语料文本中的短语提取方法、装置、存储介质及电子设备
US20170017716A1 (en) Generating Probabilistic Annotations for Entities and Relations Using Reasoning and Corpus-Level Evidence
CN112925914B (zh) 数据安全分级方法、系统、设备及存储介质
CN109657056B (zh) 目标样本获取方法、装置、存储介质及电子设备
US20170140290A1 (en) Automated Similarity Comparison of Model Answers Versus Question Answering System Output
Zhang et al. EX‐Action: Automatically Extracting Threat Actions from Cyber Threat Intelligence Report Based on Multimodal Learning
CN112364167A (zh) 基于深度学习的意图识别方法、系统、设备及存储介质
US20230092274A1 (en) Training example generation to create new intents for chatbots
US10984199B2 (en) Unsupervised targeted sentiment analysis using dependency parsing and linguistic heuristics
US20200342053A1 (en) Identifying spans using visual recognition
CN115292520B (zh) 一种面向多源移动应用知识图谱构建方法
Wang et al. Cyber threat intelligence entity extraction based on deep learning and field knowledge engineering
CN114925757B (zh) 多源威胁情报融合方法、装置、设备和存储介质
CN112084448A (zh) 相似信息处理方法以及装置
Abad et al. Supporting analysts by dynamic extraction and classification of requirements-related knowledge
US11074417B2 (en) Suggestions on removing cognitive terminology in news articles
Yu et al. Tactics and techniques classification in cyber threat intelligence
CN113761875B (zh) 事件抽取方法、装置、电子设备及存储介质
US11361031B2 (en) Dynamic linguistic assessment and measurement
CN115757837B (zh) 知识图谱的置信度评估方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20220819

Assignee: Tianyiyun Technology Co.,Ltd.

Assignor: CHINA TELECOM Corp.,Ltd.

Contract record no.: X2024110000040

Denomination of invention: Multi source threat intelligence fusion method, device, equipment, and storage medium

Granted publication date: 20231003

License type: Common License

Record date: 20240914

EE01 Entry into force of recordation of patent licensing contract